Ein massiver Cyber-Spionageangriff hat in nur 48 Stunden weltweit über 59.000 Server mit dem populären Next.js-Framework kompromittiert. Die als Operation PCPcat bekannte Kampagne bedient sich automatisierter Werkzeuge, um Cloud-Zugangsdaten und sensible Konfigurationsinformationen im industriellen Maßstab zu erbeuten.

Ungekannte Geschwindigkeit und Präzision

Die Attacke nutzt kritische Schwachstellen in Next.js und React aus, die es Angreifern erlauben, unautorisierten Code auf den Servern auszuführen. Laut dem Beelzebub Research Team, das die Kampagne aufdeckte, erreicht die Operation eine beunruhigend hohe Erfolgsquote von 64,6 Prozent. Das übertrifft typische Botnetz-Angriffe bei weitem.

Im Fokus stehen zwei spezifische Sicherheitslücken, bekannt als CVE-2025-29927 und CVE-2025-66478. Sie sind mit dem breiteren React2Shell-Problem (CVE-2025-55182) verbunden. Diese Schwachstellen ermöglichen es, über manipulierte JSON-Daten schädliche Befehle einzuschleusen – ein Verfahren namens Prototype Pollution.

„Die Kampagne zeigt Merkmale groß angelegter Spionageoperationen", analysiert das Forschungsteam. „Hier wird nicht wahllos gesprayt, sondern mit beängstigender Präzision getroffen."

Anzeige

Passend zum Thema Cyber‑Angriffe: Automatisierte Kampagnen wie PCPcat demonstrieren, wie schnell Angreifer Cloud‑Zugangsdaten abgreifen und ganze Serverfarmen kompromittieren. Das kostenlose E‑Book "Cyber Security Awareness Trends" fasst aktuelle Bedrohungen zusammen, nennt praxiserprobte Schutzmaßnahmen (z. B. Patch‑Management, Netzwerksegmentierung, Monitoring) und gibt sofort umsetzbare Prioritäten für IT‑Teams. Ideal für Geschäftsführer und IT‑Verantwortliche, die ihr Sicherheitsniveau rasch erhöhen wollen. Der Leitfaden ist gratis, enthält praxisnahe Checklisten und steht sofort per E‑Mail zum Download bereit. Jetzt Cyber‑Security‑E‑Book kostenlos herunterladen

So funktioniert der digitale Einbruch

Der Angriffsablauf ist hochgradig automatisiert. Zuerst scannt die Malware das Internet nach erreichbaren Next.js-Servern. Wird eine verwundbare Instanz gefunden, übernimmt sie die Kontrolle. Anschließend durchsucht sie das System systematisch nach den wertvollsten Daten:

  • .env-Dateien mit API-Schlüsseln und Datenbank-Passwörtern
  • Private SSH-Schlüssel für den Zugriff auf weitere Server
  • Cloud-Zugangsdaten für AWS und Docker
  • System-Umgebungsvariablen mit sensiblen Betriebsinformationen

Um dauerhaft auf den gekaperten Maschinen zu bleiben, installiert die Schadsoftware hartnäckige Hintertüren. Sie nutzt Tools wie GOST und FRP, die als systemd-Dienste getarnt werden. So startet die Malware bei jedem Neustart des Servers automatisch wieder – die Maschine wird zum ferngesteuerten Zombie.

Wer steckt dahinter?

Die Befehlszentrale (C2-Server) der Operation wurde auf einen Server in Singapur zurückverfolgt (IP: 67.217.57.240). In einem ungewöhnlichen Fehler ließen die Angreifer ihre eigenen Statistiken über eine ungeschützte Schnittstelle offen. So konnten Forscher live verfolgen, wie die Infektionszahlen stiegen: Über 91.000 IPs wurden gescannt, 59.128 Server erfolgreich kompromittiert.

Der C2-Server koordiniert das Botnetz und weist den infizierten Maschinen alle 45 Minuten neue Ziele zu. Dieses dezentrale Scan-Modell lässt das Netzwerk exponentiell wachsen. Schätzungen zufolge könnten täglich 41.000 weitere Server hinzukommen, wenn nichts unternommen wird.

Die Gruppe nennt sich in Telegram-Kanälen „PCP" oder „Team PCP". Ihre wahre Identität ist unbekannt. Die hohe Professionalität der Tools und das klare Ziel, wertvolle Cloud-Zugänge zu erbeuten, deuten jedoch auf einen finanziell motivierten Akteur oder eine staatlich unterstützte Gruppe hin. Ihr Ziel ist vermutlich, über die Next.js-Server als Einstiegspunkt in größere Unternehmensnetzwerke vorzudringen.

Warum dieser Angriff besonders gefährlich ist

Next.js ist eines der meistgenutzten Frameworks für moderne Webanwendungen – von Startups bis zu DAX-Konzernen. Da es oft für die öffentlich sichtbare „Vorderseite" einer Webseite genutzt wird, kann ein erfolgreicher Angriff hier als Sprungbrett in interne Datenbanken und Cloud-Ressourcen dienen.

„Unternehmen, die Next.js einsetzen, sollten davon ausgehen, dass sie im Visier stehen", warnen Sicherheitsexperten. Die Lage ist ernst.

Das müssen betroffene Unternehmen jetzt tun

  1. Sofort patchen: Next.js muss auf die neuesten, gesicherten Versionen aktualisiert werden (für die Versionen 15.x und 16.x liegen Notfall-Patches vor).
  2. Zugangsdaten wechseln: Für jeden exponierten Server müssen alle Cloud-Keys, API-Schlüssel und Datenbank-Passwörter sofort ausgetauscht werden. Gehen Sie davon aus, dass sie kompromittiert sind.
  3. Netzwerk absichern: Blockieren Sie ausgehende Verbindungen zur C2-IP (67.217.57.240). Überwachen Sie, ob Node.js-Prozesse ungewöhnliche weitere Prozesse starten.
  4. System überprüfen: Suchen Sie im Dateisystem nach unbekannten systemd-Diensten oder verdächtigen Dateien wie proxy.sh oder pcpcat.

Ein Warnsignal für die gesamte Branche

Die Operation PCPcat zeigt kein Anzeichen, nachzulassen. Die React2Shell-Schwachstelle ist noch neu und in vielen ungepatchten Systemen vorhanden. Das Potenzial für weitere Opfer ist enorm.

Dieser Vorfall unterstreicht die Risiken durch Supply-Chain-Schwachstellen in Open-Source-Frameworks. Automatisierte Angriffsplattformen wie PCPcat werden immer schneller und intelligenter. Das Zeitfenster zwischen der Bekanntgabe einer Sicherheitslücke und ihrer massenhaften Ausnutzung schrumpft – für Verteidiger bleiben oft nur Minuten, nicht Tage, zum Reagieren.

Anzeige

PS: Wenn Sie ein ähnliches Szenario verhindern oder schnell reagieren müssen, bietet der Gratis‑Leitfaden konkrete Sofortmaßnahmen — von Notfall‑Patching und der Rotation kompromittierter Schlüssel bis zur Erkennung verdächtiger systemd‑Dienste. Nutzen Sie praxisnahe Checklisten und Handlungspläne, die IT‑Teams in KMU sofort umsetzen können, um weitere Infektionen zu stoppen. Der Download ist kostenlos und wird per E‑Mail zugestellt. Kostenloses Cyber‑Security‑E‑Book jetzt anfordern